以前黑客认为木马下载者程序只是起到一个过渡的作用,所以并没有对它进行很好的伪装,但是随着安全软件功能的不断提升,黑客也认识到下载者程序伪装的重要性。最近有一款名为Amalgam Lite下载者程序,不但程序体积非常“迷你”,而且其穿越防火墙的能力也十分了得。
IE进程常被调用
五一节后,是病毒大量繁衍的时期。今天在病毒诊所值班的徐阳医生一大早就接待了一位病人,这位病人称自己的电脑运行速度很慢,而且不时还弹出一个IE浏览器的进程要求访问网络。在升级了杀毒软件的病毒库,对系统进行了全方位的扫描检测后还是一无所获。
听了病人的叙述后,首先徐阳医生怀疑可能是流氓软件,但是他很快否定了自己的想法,因为很多流氓软件在调用IE浏览器无效后,会接着调用其他的系统进程。最后进行一系列的比对后,徐阳医生认为患者受到最近网络上大肆作案的木马下载者——Amalgam Lite攻击。
Amalgam Lite档案
Amalgam Lite下载者程序是一款体积只有2KB大小,同时拥有反向连接穿越防火墙等功能的远程控制程序。程序代码采用最精简化设置,使用CAsyncSelectEx框架,以及完全利用Windows32 SDK进行编写。程序还可以屏蔽用户的连接,定时检测被控端是否非正常断开连接。
IE进程没被插入
徐阳医生首先运行IceSword,点击工具栏中的“进程”按钮后,很快发现一个IE浏览器进程的进程(图1),徐阳医生明白这个IE进程一定是被该恶意程序利用了。Www.itcOmPUteR.cOM.Cn
为了更好地分析是什么恶意程序利用了IE进程,他在这个IE进程上单击鼠标右键,再选择菜单中的“模块信息”命令。经过在弹出的“进程模块信息”窗口认真查找,徐阳医生并没有发现任何恶意程序模块信息。
看来这个恶意程序并不是利用流行的线程插入方法来进行伪装,而是利用IE进程来启动运行服务端程序本身,这种方法和灰鸽子木马的启动方法是一样的。
木马利用插件启动
虽然知道了恶意程序的利用进程,但是并没有查询到任何该恶意程序的相关信息,于是徐阳医生觉得还是应该通过启动项来进行检测。结果徐阳医生通过对注册表启动项,以及系统服务等常见的启动方式进行检测以后,均没有发现任何可疑的启动项目信息。
接着他又运行AutoRuns来查看系统启动项。点击程序操作界面中的“全部”标签,经过一系列认真检查,终于发现一个可疑的启动项。该启动项所指向的程序路径为Windows的系统目录,可是它所对应的应用程序winlogo.exe却没有任何“说明”和“发行商”信息(图2)。
这个应用程序的名称和系统进程Winlogon非常相似,通过这个黑客惯用的伎俩也可以断定这个程序就是恶意程序的主文件。
那么这个恶意程序到底是通过什么方式随机启动的呢?徐阳医生点击开始菜单中的“运行”命令,然后在弹出的窗口执行regedit命令打开注册表编辑器。点击“编辑”菜单中的“查找”命令,在弹出的窗口搜索“winlogo.exe”这个关键词,果然经过搜索找到一处(图3)。 从图中我们可以看到,其中的{4A202188-F04D-11cf-64CD-31FFAFEECF20}即为该恶意程序的启动键值,由此我们也知道了该恶意程序是利用ActiveX插件进行随机启动的,怪不得我们利用常见的方法检测不到它的启动项。
轻松清除木马下载者
运行安全工具IceSword,在“进程”列表中选择IE浏览器的进程,点击右键菜单中的“终止进程”命令。点击IceSword工具栏中的“文件”按钮,通过资源列表进入木马服务端程序安装的System32目录,找到winlogo.exe这个主程序,通过右键菜单中的“删除”命令将它删除(图4)。
接下来运行安全工具AutoRuns,在窗口中找到该木马的启动项,同样点击鼠标右键中的“删除”命令即可删除该启动项。重新启动系统后发现系统运行正常,由此可以证明木马程序已经被彻底清除干净。
如何防止网站被入侵
提到网站入侵,大家肯定会不由自主地想起脚本注入。没错,它是黑客最常用且成功率最高的网站攻击方式。尽管不少站长在防注入方面作了不少努力,但是黑客仍可以轻松突破。为了防止网站后台被攻破,我们可以聘请后台狗狗(下载地址:http://download.cpcw.com),来守住网站最后的安全防线。
本文以常见的动网论坛为例,在默认情况下它的后台设置为不隐蔽状态,并且后台文件名称为admin_login.asp,这是路人皆知的事情。如果不加以更改或者保护,就会很容易让黑客寻找到后台页面的管理位置,其后果会怎么样大家可想而知。
运行“后台狗狗”客户端,在弹出的软件操作界面内,在左侧你会清楚地看到,以红色字体书写的安全提示“请确保在网络连接正常的情况下使用,本程序未加入报错系统”的醒目文字(图1)。
我们可以利用Ping命令或者直接打开网站浏览网页等操作,来对自己当前网络的连接进行测试。当测试网络一切正常后,单击“安装/卸载”按钮,在出现的“安装假后台”窗口内,按照相关标签提示,将FTP、后台一类的相关信息填入(图2)。
要注意的是,如果是使用的网络空间,后台目录一定要填写准确,否则将不会起到任何作用。操作完毕后,单击“安装”按钮,会弹出“安装完毕”的对话框提示,接下来单击“确定”按钮,自动回到软件操作界面。
单击“解密”按钮,紧接着单击“加密”按钮,这时黑客按照以前的地址打开网站后台,就会被我们制作的假后台拒绝。要想恢复对后台的正常浏览,再单击一下“解密”按钮即可。
其实这个后台狗狗工具,是通过FTP通道将网站后台首页更名,然后再利用制作出的假后台来迷惑入侵者,让入侵者认为管理员对此已加以了限制,从而打消黑客的入侵意图。
如何删除电脑中隐藏的木马
木马在互联网上肆虐,我们一不小心就会成为黑客手中的肉鸡。到时自己的电脑成为被黑客控制的傀儡,而且自己的个人隐私也完全暴露。拒绝黑客控制,我的电脑我做主。在五一节后这一黑客大肆捕获肉鸡的时段开始了,我们针对木马特点,用4招自检避免成为黑客肉鸡。
小知识:肉鸡实际上就是中了黑客的木马,或者被安装了后门程序的电脑。黑客可以像计算机管理员一样对肉鸡进行所有操作。现在许多人把有WEBSHELL权限的远程主机也叫做肉鸡。
第一招:系统进程辨真伪
当前流行的木马,为了更好地对自身加以隐藏,使用了很多方法进行自身隐蔽,其中最常见的就是进程隐藏。这种方法不仅让人很难通过常见的检查手法查找到,如果用户操作不当的话还可能将系统进程删除,造成系统不稳定甚至崩溃。常见的这类木马程序包括灰鸽子、守望者、上兴木马等。
自检方法
黑客为了对木马进行更好的伪装,常常将木马名称设置得和系统进程名称十分相似。通常系统进程都是有System用户加载的,如果我们发现某个“系统进程”是由当前用户加载的,那么这个“系统进程”一定有问题。
另外我们也可以从系统进程的路径来进行分辨,比如正常的系统进程svchost.exe应该在“c:\Windows\system32”目录下,如果用户发现它的路径在其他目录下就表明该进程有问题。
除此以外,现在的木马很注意对自身服务端程序的保护,我们通过“任务管理器”很可能查看不到木马的服务端进程,因为木马程序通过线程插入等技术对服务端程序进行了隐藏。
在这里树树建议大家使用IceSword(下载地址:http://download.cpcw.com)对进程进行管理。它除了可以查看各种隐藏的木马后门进程,还可以非常方便地终止采用多线程保护技术的木马进程。
进入IceSword点击“文件→设置”命令,去掉对话框中的“不显示状态为Deleting的进程”选项。点击程序主界面工具栏中的“进程”按钮,在右边进程列表中就可以查看到当前系统中所有的进程,隐藏的进程会以红色醒目地标记出(图1)。
另外,如果发现多个IE进程、Explore进程或者Lsass进程,那么我们就要留意了。因为很多木马都会伪装成这几个进程访问网络。
应对方法
在IceSword的进程列表中选择隐藏的木马程序,点击鼠标右键中的“强行结束”命令即可结束这个进程。然后点击IceSword的“文件”按钮,通过程序模拟的资源管理器命令,找到并删除木马程序的文件即可。]
第二招:启动项中细分析
一些木马程序通过系统的相关启动项目,使得相关木马文件也可以随机启动,这类木马程序包括TinyRAT、Evilotus、守望者等。
检方法
运行安全工具SysCheck(下载地址:http://download.cpcw.com),点击“服务管理”按钮后即可显示出当前系统中的服务信息,如果被标注为红色的就是增加的非系统服务。通过“仅显示非微软”选项就可以屏蔽系统自带的服务,这样恶意程序添加的服务项就可以立刻现形。
点击“修改时间”或“创建时间”选项,就可以让用户马上查看到新建的系统服务(图2)。从图中我们可以看到一个被标注为红色、名称为Windows Media Player的系统服务,该服务所指向的是一个不明程序路径。因此可以确定该服务就是木马程序的启动服务。
通过安全工具SysCheck的“活动文件”项目,可以显示出包括启动项等信息在内的、容易被恶意程序改写的系统注册表键值。比如现在某些恶意程序,通过修改系统的“load”项进行启动,或者修改系统的BITS服务进行启动。由于SysCheck程序只是关注改写了的键值,所以在不同的系统上显示的内容并不一样。
应对方法
进入SysCheck点击鼠标右键中的“中止服务”选项,中止该木马程序的启动服务,接着点击“删除服务”命令删除指定的服务键值。然后点击“文件浏览”按钮,由于SysCheck采用了反HOOK手段,所以内置的资源管理器可以看到隐藏的文件或文件夹,这样就方便了我们进行隐藏文件的删除工作。按照木马服务所指的文件路径,找到文件后点击鼠标右键中的“删除”按钮即可。
第三招:系统钩子有善恶
木马程序之所以能成功地获取用户账号信息,就是通过钩子函数对键盘以及鼠标的所有操作进行监控,在辨别程序类型后盗取相应的账号信息。也就是说,只要拥有键盘记录功能的木马程序,就肯定会有系统钩子存在。
自检方法
通过游戏木马检测大师(下载地址:http://download.cpcw.com)的“钩子列表”功能,可以显示系统已经安装的各种钩子,这样可以显示出当前网络中流行的主流木马。
点击“钩子列表”标签进行钩子信息的查看,并且不时点击鼠标右键中的“刷新”命令对系统钩子进行刷新。因为木马程序只有在键盘记录的时候才会启用钩子,如果大家中了木马,那么很快就会在列表中有所发现了。在本例中一个名为WH_JOURNALRECORD可疑的钩子被程序以显著颜色标记出来(图3)。
这个钩子是用来监视和记录输入事件的,黑客可以使用这个钩子记录连续的鼠标和键盘事件。在此时,我们就应该引起重视,不要再使用QQ等需要输入密码的程序。
应对方法
清除方法比较简单,只要记录下动用系统钩子的进程PID,通过PID值找到该木马程序的进程后结束该进程,再输入“Regedit”打开注册表编辑器,并点击“编辑”菜单中的“查找”命令,在此窗口搜索该木马程序进程的相关消息,将找到的所有信息全部删除。
重新启动计算机,只要在安全模式下删除系统目录中的木马文件信息即可。当然也可以通过前面几种方式进行相互检测,这样可以更加有效地清除系统中的木马程序。
第四招:数据包里藏乾坤
现在,越来越多的木马程序利用了Rootkit技术。Rootkit是一种集合了系统间谍程序、病毒以及木马等特性的一种恶意程序,它利用操作系统的模块化技术,作为系统内核的一部分进行运行,有些Rootkits可以通过替换DLL文件或更改系统来攻击Windows平台。
自检方法
同样我们还是使用游戏木马检测大师这款程序,利用它的“发信检测”功能来判断自己的系统中是否被安装了木马程序。在使用该功能以前,首先需要判断系统的网卡是否工作正常。
我们关闭其他一切会扰乱网络数据捕捉的程序,然后去除“只捕获smtp发信端口(25)和Web发信端口(80)”选项,点击“开始”按钮就可以进行数据包的捕捉。如果这时捕捉到有数据包发出,就证明自己的系统中存在木马程序。
根据木马程序连接方式的不同,捕捉到的数据信息也不尽相同,但是捕捉到客户端程序的IP地址还是没有问题的(图4)。用过嗅探器的朋友都知道,我们可以通过设置过滤病毒特征数据包来发现蠕虫病毒,当然这种方法需要一定的相关知识,这里就不再叙述了。
应对方法
对于这种利用Rootkit技术的木马程序,可以直接通过一些Rootkit检测工具进行查看。比如检测工具Rootkit Detector(下载地址:http://download.cpcw.com),它通过程序内置的MD5数据库,来比较所检测到的Windows 2000/XP/2003 系统全部服务和进程的MD5校验值,这样就可以检测出系统下的Rootkit程序。
在命令提示符窗口运行命令:rd.exe,程序会自动对当前系统进行检测。程序首先会统计出系统中服务的数目、当前的进程,以及被隐藏的进程,并且将系统当前的进程用列表显示出来,然后进入安全模式进行删除即可。
常见木马以及病毒专杀工具
在这里,我们向大家提供能速杀流行木马以及病毒的专杀工具。我们可以根据需要,搭配使用这些专杀工具,让自己的电脑更加安全。
From:http://www.itcomputer.com.cn/Article/Network/201309/442.html